Sie erwarten also tatsaechlich, dass man seine Server jedes Jahr auf Sicherheitsluecken ueberprueft? Oder etwa im Wochentakt die Logs auswertet? Dann wuerde man ja zugeben, dass die anfaengliche Installation vielleicht nicht perfekt war. Das koennen Sie doch Profis nicht zumuten!

... nun, im Grunde jeder nach seiner Fasson.

Wenn Betreiber privater Projekte meinen, mit der Anmietung von Webspace resp. eines Servers und der Verbringung irgendwelcher PHP-Skripten auf diese alles Erforderliche getan zu haben um ihrer Verantwortung gerecht zu werden, dann sei es eben so. Sollten diese Server irgendwann nicht mehr nur dem berechtigten Nutzer gehören, so werden sie - je nach Betreiber der technischen Infrastruktur - eben “abgeklemmt” oder von anderen Nutzern mittels geeigneter Regeln für den jeweiligen Paktefilter vom “Netzleben” ausgeschlossen.

Bedauerlich ist nach meinem Dafürhalten allerdings, dass unsere Rechtsordnung und insbesondere das nunmehr im Entstehen begriffene Strafrechtsänderungsgesetz zur Computerkriminalität einen derart leichtfertigen Umgang mit Informationstechnologie geradezu fördert. Wie schon in der vor knapp zehn/fünfzehn Jahren geführten Diskussion bzgl. des fehlenden Sanktionsbedürfnisses für Ladendiebstähle sehe ich auch im vorbenannten Bereich keinerlei Veranlassung, die Eigenverantwortung des einzelnen Betreibers eines IT-Serviceangebots auf die Gemeinschaft zu verlagern. Im Gegenteil - je weiter sich die informationstechnologische Entwicklung vollzieht, je bedeutsamer der Informationsgehalt eines Datums ist, um so mehr Eigenverantwortlichkeit erwarte ich vom Informationsanbieter - sowohl in inhaltlicher, organisatorischer als auch in technischer Hinsicht. Auch wenn das beliebte Totschlagsargument hier immer lautet. “Das ist doch nur eine private Website!” so kann dies keine Entlastung für Leichtfertigkeit im Umgang mit Informationstechnologie bedeuten. Die Serverpreise sind in den letzten 5-7 Jahren zu einem belanglosem Faktor in der Kalkulation gesunken - heute bekomme ich schon für knapp 200 EUR/Monat eine leistungsfähige Maschine mit einer vernünftigen Anbindung und einer auf SLA’s basierenden Leistungsverpflichtung des Anbieters. Im Lowcost-Segment sind die Preise noch dramatischer gefallen - mit knapp 40 EUR ist man hier schon dabei. Das Problem hierbei: Schon ein “geownter” Server kann die Funktionalität eines Netzbereichs erheblich beeinträchtigen. Man braucht nur mal in den Kundenforen der einschlägigen Massenhoster quer zu lesen ... Kunden beschweren sich, dass die Latenz des eigenen Servers auf das Hundertfache steigt oder eben nur noch time outs produziert werden weil der benachbarte Server im Rack sich gegenüber dem Netz “unfreundlich” verhält.

Das Problem läßt sich aus meiner Sicht nur durch geeignete verhaltenssteuernde Maßnahmen lösen: Entweder abverlangt man vom Betreiber einer entsprechenden Struktur antizipiert den Nachweis der Befähigung, die Gefahrenquelle im alltäglichen Betrieb im Griff zu haben oder man greift für den Fall, dass (auch durch Fahrlässigkeit) von einem “gehackten” Server eine (abstrakte o. konkrete) Gefahr für Dritte ausgeht, repressiv ein.

Im unternehmerischen Bereich hat sich in den letzten Jahren glücklicher Weise ja viel in dieser Hinsicht getan. Allerdings kann man ebenso nicht verleugnen, dass bestimmte einzelne Geschäftsvorstände bestimmter Unternehmen gänzlich beratungsresistent sind - und dies nicht etwa deshalb, weil eine schon durchgeführte Risikoanalyse gezeigt hat, dass die Kosten für eine adäquate Sicherung der Informationstechnologie weit über den Ausfallkosten liegen. Erste Frage nach einer Gefahrrealisierung ist dann immer die nach der Möglichkeit der Drittverlagerung des Risikos auf Versicherungsgesellschaften ...

Wenn die G8 1997 den Kampf gegen das sogenannte Cybercrime aufnehmen und 2007 eine seit einem Jahr bekannte Gefahr ignorieren, dann muss man beim naechsten G8-Termin logischerweise mit einer G8-weiten Haftungsentlastung fuer Serverbetreiber rechnen. Oder gilt bei diesem Vorbild: “Do as I say not as I do”?